Gutes VPN, böses VPN

Gestern erreichte mich ein Hilferuf. Das Kind kann die Sendung mit der Maus nicht gucken, weil die Mediathek aus dem Ausland nicht erreichbar ist. Das Problem war schnell gelöst: Die gestrige Folge heruntergeladen und übermittelt.

Damit Euch das nicht auch passiert, empfehle ich ein VPN (Virtual Private Network), und zwar ein privates! Nicht etwa eins von den ganzen Anbietern, die Youtuber mit Geld überhäufen. Das ist ein höchst unseriöses Geschäft, weil die Anbieter nicht nur Euer Geld abgreifen, sondern auch Eure Daten. Alles, aber auch wirklich alles läuft über das VPN. Toll für die Datensammelei, nicht so toll für Euch.

Es ist viel einfacher, wenn man zum Beispiel eine Fritzbox hat. Die Einrichtung ist in ein paar Minuten abgeschlossen. Internet/Freigaben/VPN (Wireguard). Ihr könnt nun aus dem Ausland oder einem unsicheren WLAN einfach Euer eigenes Heimnetz erreichen. Und von da aus tretet Ihr im Internet auf, als wäret Ihr zu Hause.

Wer keine aktuelle Fritzbox hat, nutzt einen kleinen Raspi oder irgendeinen anderen Computer zu Hause. Wireguard gibt es für alle Betriebssysteme.

Per-App-VPN-Profil für die Nutzung mit Apple indigo erstellen

Das Thema Apple indigo ist sicherlich einigen bekannt. Ich hatte vor einiger Zeit hier darübergeschrieben. Da es für die notwendigen Konfigurationseinstellungen nur wenig öffentliche Dokumentation gibt, möchte hier beginnen diese Dokumentation zu erstellen. Da einer der wesentlichen Komponenten einer Apple Indigo-Lösung das VPN ist, beginne ich mit der Dokumentation zur Erstellung des VPN-Profils. Ich zeige, wie ihr am BlackBerry UEM ein passendes VPN-Profil erstellen könnt. Dieses VPN-Profil kann dann dazu genutzt werden, um auf Ressourcen und Dienste im internen Netz zuzugreifen. Dieses VPN-Profil ist für die Nutzung mit BlackBerry UEM in einem Brightsite-Setup gedacht. Auf das VPN-Profil für eine Darksite-MDM-Installation gehe ich nicht ein, weil praktisch keine Organisation bei Apple indigo auf ein Darksite-MDM setzen möchte. Darksite-MDM für Apple indigo bringt einfach zu viele Nachteile und praktisch keine Vorteile.

  1. In der UEM-Konsole unter Richtlinien und Profile-> Netzwerke und Verbindungen->VPN wird über das Plus-Symbol ein neues VPN-Profil angelegt
  2. Im Feld Name muss der Name für das VPN-Profil vergeben werden, z.B. indigo_VPN_Profil
  3. Bei den Gerätetypen ist nur die Auswahlbox für iOS auszuwählen
  4. In der Auswahlliste Verbindungstyp muss IKEv2 ausgewählt werden
  5. Unter Remote-Adresse muss der FQDN des VPN-Gateways eingetragen werden, z.B. vpngw.boui.de
  6. Für Lokale ID wir der VPN-Benutzername benötigt. Da das Profil für mehrere Nutzer verwendet werden soll, tragen wir hier eine Variable ein. Das kann z.B: %username% sein.
  7. Für die Remote-ID wird wieder FQDN des VPN-Gateways eingetragen. Je nach VPN-Lösung muss hier gegebenenfalls ein anderer Wert eingetragen werden
  8. In der Auswahlliste Authentifizierungstyp muss Benutzeranmeldeinformationen ausgewählt werden.
  9. In der Auswahlliste Verknüpftes Profil für Benutzeranmeldeinformationen muss das zuvor angelegte Profil für Benutzeranmeldeinformationen ausgewählt werden. In unserem Beispiel heißt das Profil indigo_VPN_Zertifikat.
    Hinweis: Im Kontext von indigo darf das VPN-Zertifikat nicht über den MDM-Kanal auf das Endgerät gepusht werden. Das VPN-Zertifikat kann z.B. über ein sicheres, internes Netz (Wifi oder Ethernet) über den Safari-Browser auf das Gerät installiert werden.
  10. Den Wert für Keep-alive-Intervall muss auf 10 Minuten gesetzt werden.
  11. Die Haken für MOBIKE deaktivieren und IKVEv2-Umleitung deaktivieren bleiben abgewählt
  12. Der Haken für Perfekte Geheimhaltung bei der Weiterleitung aktivieren muss gesetzt werden
  13. Die Option NAT-Keep-alive aktivieren wird eingeschaltet und der Wert 110 gesetzt
  14. Die Haken für Interne IPv4- und IPv6-IKEv2-Subnetze verwenden, Zertifikatwiderrufprüfung aktivieren und Fallback aktivieren bleiben entfernt
  15. Der Haken für Untergeordnete Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128-GCM
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  16. Der Haken für IKE-Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  17. Der Wert für MTU kann bei 1280 bleiben
  18. Da wir das Profil für Per App VPN und Per Account VPN nutzen wollen, muss der Haken für Enable per-app VPN gesetzt werden.
  19. Da Safari bei indigo nicht über den VPN-Tunnel auf interne Ressourcen zugreifen darf, dürfen keine Safari Domains eingetragen würden. Das gleiche gilt für die anderen Domain-Listen.
  20. Der Haken für Allow apps to connect automatically muss gesetzt werden.
  21. In der Auswahlliste Traffic Tunneling muss der Wert Application layer ausgewählt werden
  22. Über den Button Hinzufügen wird das neue VPN-Profil gespeichert.
  23. Das fertige VPN-Profil sollte dann wie folgt aussehen

Microsoft to add free VPN to Edge

Encrypts your connection: Encrypts your internet connection to help protect your data from online threats like hackers.

When using Microsoft Edge Secure network, your data is routed from Edge through an encrypted tunnel to create a secure connection, even when using a non-secure URL that starts with HTTP. This makes it harder for hackers to access your browsing data on a shared public Wi-Fi network.

Helps prevent online tracking: By encrypting your web traffic directly from Microsoft Edge, we help prevent your internet service provider from collecting your browsing data like details about which websites you visit.

Keeps your location private: Online entities can use your location and IP address for profiling and sending you targeted ads. Microsoft Edge Secure Network lets you browse with a virtual IP address that masks your IP and replaces your geolocation with a similar regional address to make it more difficult for online trackers to follow you as you browse.

Microsoft support document

This sounds too good to be true. The service is provided by Cloudflare. And there is a catch:

Is free to use: Get 1 gigabyte of free data every month when you sign into Microsoft Edge with your Microsoft Account.  See below instructions to turn on your Microsoft Edge Secure Network.

I burn through a few gigabyte every day. We will see. Maybe they will provide more with Microsoft 365.

Don’t pay for a commercial VPN

Security researcher Kenn White added that “for the vast majority of consumers, commercial VPN services add very little value and frankly most incur more security risk for the user.”

One risk is some VPN providers use self-signed root CAs, which allow the creator to read encrypted traffic coming from a computer.

White said this is done in the pursuit of malware prevention, but that “is just a different way of saying ‘intercepting your (otherwise) encrypted web and mail traffic.'”

Some VPNs may collect more information than users anticipate, and in some cases expose that data too.

The advice you get from Youtube influencers, which are paid to sell you a VPN, is terrible. There are very few use cases for those VPNs. It’s mostly for pretending to be somewhere else, to circumvent geo fencing.

More >